前言
隨着SHA1算法在2016年12月31日以后,將被強制淘汰,所有新的SSL證書都必須支持SHA256算法,所以我們必須將IBM Domino Server升級到9.0以上才可以支持SHA256算法。同時,以前用來生成Kyr文件的iKeyman5 已經無法再為SHA256的證書服務了,IBM隨同Domino 9發布了一個Kyrtool的命令行工具。我們在Domino 9 下必須使用這個工具來完成證書格式的轉換。
查找中間證書
安裝kyrtool工具
首先請在一台已經安裝IBM DOMINO 9 的電腦上下載: kyrtool 1.1工具。解壓文件(kyrtool.exe)到c:\program files\ibm\domino ,即可准備使用。
制作Kyr文件
1、先生成一個新的kyr文件
kyrtool =notes.ini create -k server.kyr -p password(請在命令行,c:\program files\ibm\domino目錄下運行,產生的server.kyr文件在c:\program files\ibm\domino\data目錄下)
2、將前面准備好的證書私鑰,服務器證書,中間證書,根證書復制到一個文件server.cer,順序如下:
第一段:私鑰 -----BEGIN RSA PRIVATE KEY----- MIIEpAIBAAKCAQEAmEodTcl16P01GbWg2Dr+1FR6Q4D85283ROi7U+eMi6Ex8fF+ IhtB9edaOfywKPgdw1rgCxOIh6kHiiqvZvRvIEacFu0qqBTJeyPmeg== -----END RSA PRIVATE KEY----- 第二段:服務器證書 -----BEGIN CERTIFICATE----- MIIGGzCCBQOgAwIBAgIQP3zt9jHcE2Eo63f6I16j+DANBgkqhkiG9w0BAQsFADBE bcRr/RLp0ziC56tOErlDGmaj1wytlTwSxdG86YinsA== -----END CERTIFICATE----- 第三段:中間證書 -----BEGIN CERTIFICATE----- MIIETzCCAzegAwIBAgIDAjpvMA0GCSqGSIb3DQEBCwUAMEIxCzAJBgNVBAYTAlVT QNaFHlHpURceA1bJ8TCt55sRornQMYGbaLHZ6PPmlH7HrhMvh+3QJbBo+d4IWvMp zNSS -----END CERTIFICATE----- 第四段:根證書 -----BEGIN CERTIFICATE----- MIIDVDCCAjygAwIBAgIDAjRWMA0GCSqGSIb3DQEBBQUAMEIxCzAJBgNVBAYTAlVT 5fEWCRE11azbJHFwLJhWC9kXtNHjUStedejV0NxPNO3CBWaAocvmMw== -----END CERTIFICATE-----
3、檢驗這個文件 (用命令行,cd到domino目錄下,kyr文件在.\data\目錄下)
kyrtool =notes.ini verify .\data\server.cer KyrTool v1.1 Successfully read 2048 bit RSA private key INFO: Successfully read 3 certificates INFO: Private key matches leaf certificate INFO: IssuerName of cert 0 matches the SubjectName of cert 1 INFO: IssuerName of cert 1 matches the SubjectName of cert 2 INFO: Final certificate in chain is self-signed
4、 導入這個server.cer到 kyr文件
kyrtool =notes.ini import all -k server.kyr -i .\data\server.cekeytr
5、 檢查這個server.kyr文件
kyrtool =notes.ini show keys -k server.kyr kyrtool =notes.ini show certs -k server.kyr
部署Kyr文件到Domino Server
1、將本地SSL密鑰環文件(.kyr和.sth 2個文件)復制或FTP到Domino服務器的數據目錄中。
2、對SSL密鑰環文件設置相應的權限,以確保Domino服務器可以訪問文件。 對於Windows,通常在將文件復制/粘貼到服務器時自動設置適當的權限。 對於IBMi / OS400,文件所有者應設置為QNOTES。 對於UNIX,將文件權限設置為擁有所有Domino服務器文件的相同所屬標識。
3、更新服務器文檔以使用適用於Web服務器配置的適當方法開始使用新的SSL密鑰環文件。 (要確認您是否使用Internet Site documents,請打開服務器文檔到Basic選項卡,並驗證字段“Load Internet configurations from Server\Internet Sites documents”的值,如果這里為啟用,您正在使用Internet站點文檔,這些文檔位於“ Configuration - Web - Internet - Sites”下的Domino目錄中。
a、 如果你不使用Internet Site documents,在服務器文檔中進入“Ports -> Internet Ports”。 在“SSL key file name”字段中輸入Kyr文件名。
b、如果您使用的是Internet Site documents ,找到需要創建SSL Kyr文件的internet Site documnets,然后選擇“Security"”選項卡,並將“Key file name”內容更新為已經創建好的Kyr文件(Server.kyr)。
4、確保服務器的SSL端口狀態在“Ports -> Internet Ports -> Web”設置為“已啟用”。
5、通過在Domino服務器控制台上發出命令“tell http restart”重新啟動HTTP任務。 如果其他任務需要使用密鑰環,請重新啟動這些任務。
FYI: https://www.myssl.cn/home/article-0403-41.html